„Bug Bounty“-Programm

Webcam geknackt: Apple zahlt Hacker 100.000 Dollar

Der US-Computerkonzern Apple hat einem IT-Security-Forscher mehr als 100.000 US-Dollar „Finderlohn“ für eine schwere Sicherheitslücke gezahlt, mit der Angreifer Apple-Nutzer über deren Webcam ausspionieren gekonnt hätten. Es ist bereits die zweite Sicherheitslücke, die Ryan Pickren in Apple-Programmen entdeckt und gemeldet hat.

Pickren hatte die Sicherheitslücken in Apple Safari-Browser und der iCloud-Sharing-Schnittstelle bereits vergangenes Jahr an Apple gemeldet, das Problem wurde bereits behoben. Wie das IT-Security-Portal „The Hacker News“ berichtet, hat Pickren nun den Lohn für die gemeldete Lücke erhalten: 100.500 US-Dollar aus Apples sogenanntem „Bug Bounty“-Programm.

Bei diesem Programm handelt es sich um ein Belohnungssystem für IT-Security-Experten, die in Apple-Software entdeckte Schwachstellen an den iPhone-Konzern melden. Je nach Relevanz und Schwere einer gemeldeten Sicherheitslücke zahlt Apple hier unterschiedlich hohen „Finderlohn“. Für die IT-Security-Forscher eine Einnahmequelle, für Apple eine gute Möglichkeit, laufend über Schwachstellen informiert zu werden.

Safari-Lücke machte auch Webcam angreifbar
Im konkreten Fall hatte Pickren, wie er in einem umfangreichen Beitrag auf seinem Blog darlegt, eine Schwachstelle in Apples Safari-Browser und der iCloud-Sharing-Funktion ausgenutzt, um dem Nutzer über scheinbar ungefährliche Inhalte wie Bilddateien Schadcode unterzujubeln, der unter anderem erlauben würde, den Browserverlauf auslesen und Online-Konten auszuspähen, aber auch Webcam und Mikrofon anzuzapfen.

Es war bereits die zweite grobe Sicherheitslücke, die Pickren Apple gemeldet hatte. Bereits vor zwei Jahren entdeckte er eine andere Methode, um auf iPhones und Macbooks die Webcam anzuzapfen. Auch damals meldete Pickren seinen Fund - und erhielt 75.000 Dollar „Bug Bounty“.